북, 해커 조직 라자루스 프라이빗 키 탈취·소셜 엔지니어링 공격기법 주로 사용
미 제재로 새로운 자금세탁 루트 확보, 레일건 믹서와 동남아 환전 서비스 이용
[보안뉴스 박은주 기자] 북한 해커 조직 라자루스(Lazarus)의 가상화폐 탈취 활동 빈도와 규모가 해마다 늘어나고 있다. 해킹으로 인해 발생한 전체 피해 금액의 34%는 북한과 관련된 것으로 드러났다. 확인되지 않은 사건의 비중을 고려할 때 실제 50% 이상 북한으로 인한 금전 피해가 발생한 것으로 추정된다.
[이미지=gettyimagesbank]
가상화폐 시장에서 발생한 해킹 피해 금액의 34%가 북한의 소행으로 밝혀졌다. 전문가들은 확인되지 않은 사건의 비중을 고려하면 피해 금액 50% 이상이 북한 때문이라고 추정했다. 특히 북한 해커 조직 라자루스(Lazarus)의 가상화폐 탈취 활동 빈도와 규모가 해마다 늘고 있어 각별한 주의가 요구된다.
최근 가상자산 추적분석 전문기업 클로인트(Kloint)가 ‘가상화폐 해킹 사건에 대한 북한 중심의 조사 분석 리포트(2022-2024.06)’를 발간했다. 2022년부터 2024년 6월 17일까지 발생한 총 944건의 해킹 사건 중, 규모가 100만 달러(약 13억 원) 이상이거나 북한과의 연관성이 확인된 총 244건의 주요 해킹 사건에 대해서 구체적인 사건 개요 및 금액 흐름을 조사 분석했다. 라자루스 그룹의 최근 가상화폐 탈취 및 자금 세탁 패턴에 관해 집중적으로 조명하고 있다.
보고서에는 라자루스 그룹에 초점을 두고 △해킹 공격 방식 △브릿지 및 믹서를 통한 자금 세탁 방식 △자금 이동에 사용되는 주요 가상화폐 △가상화폐 탈취 활동과 미사일 실험 간의 상관관계 분석 △자금 세탁 사례(후이원 페이)를 분석했다.
특히 라자루스 그룹과 관련된 가상화폐 탈취 사건을 7가지 공격 패턴에 따라 사례를 공개하고 공격 특징을 상세히 설명하고 있다. 보고서에 따르면 라자루스 그룹의 주요 공격방식은 ‘프라이빗 키 탈취’와 ‘소셜 엔지니어링’ 공격으로, 전체 공격 기법 중 63%를 차지하는 것으로 확인된다.
라자루스 그룹은 새로운 자금세탁 루트를 확보하기 위해 노력하고 있다. 보고서에 따르면 라자루스는 자금 세탁 방법으로 토르체인과 토네이도 캐시 같은 크로스체인 브릿지와 믹서를 주로 사용했다. 다만 최근 들어 토네이도 캐시 공동창업자 로만 스톰(Roman Storm)이 구속되는 등 미국 정부 제재가 날이 갈수록 거세지는 상황이다. 따라서 레일건 믹서와 동남아시아 지역 환전 서비스 이용하는 사례가 발견됐다.
클로인트는 가상화폐 종류에 따른 자금 이동량 비율을 비교해 분석했다. 북한 해커 조직이 주로 사용하는 5가지 코인(DAI, USDC, USDT, WBTC, WETH)에 대해서도 그 추이를 지켜봐 왔다. 전체보다 북한 관련 사건은 USDC의 비율이 11.3%, WBTC의 비율이 7.4% 높게 관찰됐다.
클로인트는 2024년 상반기 북한이 캄보디아 후이원 페이를 사용해 자금 세탁을 한 정황을 파악하고 “후이원 페이와 같이 해당 국가의 KYC(Know Your Customer, 고객 확인) 등 가상화폐 규제가 미숙한 서비스가 세탁 과정의 주요 표적으로 사용될 것으로 전망된다”며 “새로운 자금세탁 서비스의 부상을 꾸준히 관찰할 필요가 있다”고 경고했다.
우려되는 점은 탈취한 가상화폐가 북한 체제 유지와 군사 비용 등 국가적 차원에서 사용될 가능성이 있다는 것이다. 북한은 식량난에도 불구하고 미사일 실험 횟수를 늘리며 남한에 대한 도발을 감행하고 있다. 그러나 2022년 기준 북한의 가상화폐 탈취액이 수출액의 4.7배에 달해 대외 경제 활동보다 불법 사이버 활동을 통해 확보하는 자금이 압도적으로 증가했다. 여러 사실을 미루어 짐작할 때 미사일 발사에 필요한 자금을 가상화폐 탈취로 충당하고 있는 것으로 보인다.
클로인트 측은 “북한 가상화폐 해킹 공격 수법이 점점 더 정교해지고 있어 이에 대응하기 위한 가상화폐 사이버 보안 개선과 더불어 민관 및 국제 협력 강화가 시급하다”고 강조했다. 또한 “가상화폐 거래소에 대한 더욱 엄격한 규제, 크로스체인 브릿지 및 믹서에 대한 조사 강화, 그리고 진화하는 자금 세탁 기술에 대응하기 위한 추적 및 분석 도구의 개선이 필요하다”고 덧붙였다.
끝으로 “최근 들어 급증하는 가상화폐 ETF 편입과 미국 대통령 후보자 트럼프의 비트코인 전략자산 보유 언급 등으로 인해 중요성이 부각되는 가상자산 커스터디 사업자 등 신규 서비스에 대한 공격 시도 가능성이 크다”고 경고했다.
한편, 클로인트는 국내외 수사기관과 가상화폐 해킹 피해자를 대상으로 탈취자금 추적 분석 서비스를 제공하고 있다. 2024년 2월에는 가상자산 해킹 사건 발생 동향을 실시간으로 파악할 수 있는 ‘체인워처’ 서비스를 출시했다. 2024년 하반기에는 전문적이고 체계적인 추적분석이 가능한 가상화폐 인텔리전스 도구인 ‘한터’를 선보일 예정이다.
[박은주 기자(boan5@boannews.com)]
미 제재로 새로운 자금세탁 루트 확보, 레일건 믹서와 동남아 환전 서비스 이용
[보안뉴스 박은주 기자] 북한 해커 조직 라자루스(Lazarus)의 가상화폐 탈취 활동 빈도와 규모가 해마다 늘어나고 있다. 해킹으로 인해 발생한 전체 피해 금액의 34%는 북한과 관련된 것으로 드러났다. 확인되지 않은 사건의 비중을 고려할 때 실제 50% 이상 북한으로 인한 금전 피해가 발생한 것으로 추정된다.
[이미지=gettyimagesbank]
가상화폐 시장에서 발생한 해킹 피해 금액의 34%가 북한의 소행으로 밝혀졌다. 전문가들은 확인되지 않은 사건의 비중을 고려하면 피해 금액 50% 이상이 북한 때문이라고 추정했다. 특히 북한 해커 조직 라자루스(Lazarus)의 가상화폐 탈취 활동 빈도와 규모가 해마다 늘고 있어 각별한 주의가 요구된다.
최근 가상자산 추적분석 전문기업 클로인트(Kloint)가 ‘가상화폐 해킹 사건에 대한 북한 중심의 조사 분석 리포트(2022-2024.06)’를 발간했다. 2022년부터 2024년 6월 17일까지 발생한 총 944건의 해킹 사건 중, 규모가 100만 달러(약 13억 원) 이상이거나 북한과의 연관성이 확인된 총 244건의 주요 해킹 사건에 대해서 구체적인 사건 개요 및 금액 흐름을 조사 분석했다. 라자루스 그룹의 최근 가상화폐 탈취 및 자금 세탁 패턴에 관해 집중적으로 조명하고 있다.
보고서에는 라자루스 그룹에 초점을 두고 △해킹 공격 방식 △브릿지 및 믹서를 통한 자금 세탁 방식 △자금 이동에 사용되는 주요 가상화폐 △가상화폐 탈취 활동과 미사일 실험 간의 상관관계 분석 △자금 세탁 사례(후이원 페이)를 분석했다.
특히 라자루스 그룹과 관련된 가상화폐 탈취 사건을 7가지 공격 패턴에 따라 사례를 공개하고 공격 특징을 상세히 설명하고 있다. 보고서에 따르면 라자루스 그룹의 주요 공격방식은 ‘프라이빗 키 탈취’와 ‘소셜 엔지니어링’ 공격으로, 전체 공격 기법 중 63%를 차지하는 것으로 확인된다.
라자루스 그룹은 새로운 자금세탁 루트를 확보하기 위해 노력하고 있다. 보고서에 따르면 라자루스는 자금 세탁 방법으로 토르체인과 토네이도 캐시 같은 크로스체인 브릿지와 믹서를 주로 사용했다. 다만 최근 들어 토네이도 캐시 공동창업자 로만 스톰(Roman Storm)이 구속되는 등 미국 정부 제재가 날이 갈수록 거세지는 상황이다. 따라서 레일건 믹서와 동남아시아 지역 환전 서비스 이용하는 사례가 발견됐다.
클로인트는 가상화폐 종류에 따른 자금 이동량 비율을 비교해 분석했다. 북한 해커 조직이 주로 사용하는 5가지 코인(DAI, USDC, USDT, WBTC, WETH)에 대해서도 그 추이를 지켜봐 왔다. 전체보다 북한 관련 사건은 USDC의 비율이 11.3%, WBTC의 비율이 7.4% 높게 관찰됐다.
클로인트는 2024년 상반기 북한이 캄보디아 후이원 페이를 사용해 자금 세탁을 한 정황을 파악하고 “후이원 페이와 같이 해당 국가의 KYC(Know Your Customer, 고객 확인) 등 가상화폐 규제가 미숙한 서비스가 세탁 과정의 주요 표적으로 사용될 것으로 전망된다”며 “새로운 자금세탁 서비스의 부상을 꾸준히 관찰할 필요가 있다”고 경고했다.
우려되는 점은 탈취한 가상화폐가 북한 체제 유지와 군사 비용 등 국가적 차원에서 사용될 가능성이 있다는 것이다. 북한은 식량난에도 불구하고 미사일 실험 횟수를 늘리며 남한에 대한 도발을 감행하고 있다. 그러나 2022년 기준 북한의 가상화폐 탈취액이 수출액의 4.7배에 달해 대외 경제 활동보다 불법 사이버 활동을 통해 확보하는 자금이 압도적으로 증가했다. 여러 사실을 미루어 짐작할 때 미사일 발사에 필요한 자금을 가상화폐 탈취로 충당하고 있는 것으로 보인다.
클로인트 측은 “북한 가상화폐 해킹 공격 수법이 점점 더 정교해지고 있어 이에 대응하기 위한 가상화폐 사이버 보안 개선과 더불어 민관 및 국제 협력 강화가 시급하다”고 강조했다. 또한 “가상화폐 거래소에 대한 더욱 엄격한 규제, 크로스체인 브릿지 및 믹서에 대한 조사 강화, 그리고 진화하는 자금 세탁 기술에 대응하기 위한 추적 및 분석 도구의 개선이 필요하다”고 덧붙였다.
끝으로 “최근 들어 급증하는 가상화폐 ETF 편입과 미국 대통령 후보자 트럼프의 비트코인 전략자산 보유 언급 등으로 인해 중요성이 부각되는 가상자산 커스터디 사업자 등 신규 서비스에 대한 공격 시도 가능성이 크다”고 경고했다.
한편, 클로인트는 국내외 수사기관과 가상화폐 해킹 피해자를 대상으로 탈취자금 추적 분석 서비스를 제공하고 있다. 2024년 2월에는 가상자산 해킹 사건 발생 동향을 실시간으로 파악할 수 있는 ‘체인워처’ 서비스를 출시했다. 2024년 하반기에는 전문적이고 체계적인 추적분석이 가능한 가상화폐 인텔리전스 도구인 ‘한터’를 선보일 예정이다.
[박은주 기자(boan5@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
 TH.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
